La divulgazione dell'attacco alla catena di fornitura contro SolarWinds alla fine del 2020 ha rappresentato un campanello d'allarme per le agenzie federali responsabili della sicurezza delle risorse informative statunitensi e per il settore della sicurezza. Man mano che vengono alla luce ulteriori dettagli sull'attacco, una delle rivelazioni più significative è che gli aggressori hanno utilizzato metodi collaudati per ottenere l'accesso iniziale: attraverso Active Directory (AD) in sede.
Come ha scritto Sean Deuby, direttore dei servizi di Semperis, in un recente articolo di InfoSecurity Magazine, se un aggressore riesce a eludere i controlli di autenticazione e a ottenere l'accesso come amministratore all'AD, allora l'attore delle minacce può ottenere una visibilità totale sull'ambiente AD, sia on-premises che nel cloud. Dato che le minacce sponsorizzate dallo Stato continuano ad aumentare, il monitoraggio continuo di AD alla ricerca di attività sospette è un componente chiave per prevenire, rilevare e bloccare le attività dannose.
L'attacco di SolarWinds segnala che le risorse di identità on-premises saranno sempre più utilizzate come punto di accesso agli ambienti cloud. Tuttavia, le buone pratiche di sicurezza possono aiutare a mitigare anche gli attacchi più complessi. Deuby segnala risorse recenti, tra cui un post sul blog di Microsoft che fornisce le linee guida per la protezione di Azure AD e le indicazioni aggiornate della CISA.
L'utilizzo di un approccio stratificato alla protezione di AD, che includa il monitoraggio continuo degli indicatori di esposizione che potrebbero compromettere AD, aiuterà le organizzazioni a proteggere le proprie risorse informative. Sebbene i cyberattacchi stiano diventando sempre più sofisticati, la protezione di Active Directory è un passo fondamentale nel piano di difesa contro i cyberattacchi di un'organizzazione.